Cursos de Herramientas y Técnicas de Ciberseguridad.
Nombre: Kelvin Peña.
Tema: Que es PCI 4.0 y NIST Security Framework.
1. Que es PCI 4.0.
PCI DSS (Payment Card Industry Data Security Standard) es un estándar de seguridad de la información que se aplica a las organizaciones que manejan, procesan o almacenan datos de tarjetas de pago. La versión 4.0 de PCI DSS, se publicó en Marzo de 2022 y tiene como objetivo abordar las amenazas y tecnologías emergentes, así como habilitar métodos innovadores para combatir nuevas amenazas. En resumen, PCI DSS4.0 adopta una visión más amplia de la seguridad, lo que significa que las organizaciones pueden diseñar y utilizar sus propios sistemas de seguridad personalizados, siempre que cumpla con el requisito general de protección de datos. Historia: El Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (Payment Card Industry Data Security Standard – PCI DSS) Surgió como resultado del trabajo conjunto de las principales marcas de tarjetas de pago, que optaron por centralizar los controles de seguridad de sus diferentes programas de cumplimiento en un único estándar que facilitara una implementación de medidas de seguridad y la gestión de la protección de datos de tarjetas de forma homogénea, evitando solapamientos, duplicidades e incongruencias. Es así como el año 2004 se publicó la primera versión del estándar PCI DSS, que definió los principios básicos de ciberseguridad para la protección de los datos de tarjetas de pago que debían ser implementados por cualquier entidad que procesara, almacenara y/o transmitiera dichos datos, principalmente comercios y proveedores de servicios. Posteriormente, en el año 2006, se publicó la versión 1.1 del estándar, desarrollada esta vez por el Payment Card Industry Security Standards Council (PCI SSC), entidad independiente conformada por las principales marcas de tarjetas de pago y encargada de la gestión del ciclo de vida de PCI DSS y de otros estándares de las industrias de medios de pago. A medida que las empresas afectadas implementaban y gestionaban los controles del estándar, el PCI SSC, empezó a recibir comentarios y sugerencias por parte de diferentes empresas y organizaciones relacionadas con la seguridad de medios de pago, algo que a la larga terminaría influyendo en la publicación de las siguientes versiones del estándar, incorporando mejoras, aclaraciones y correcciones menores basados en la retroalimentación provista por la comunidad. No obstante, esta iniciativa no perduro por mucho tiempo debido a diferentes variables externas que obligaron adelantar o a retrasar la publicación de las versiones subsiguientes del estándar, incluyendo el impacto de diferentes vulnerabilidades de SSL y TLS, en la trasmisión de datos de tarjetas por redes publicas abiertas y la optimización en los procesos de recepción de comentarios por parte de diferentes organizaciones. De hecho, en el desarrollo de la versión 4.0 del estándar, los periodos planteados en este ciclo de vida no fueron seguidos y probablemente esto tampoco ocurra con versiones futuras.
Desarrollo y publicación del estándar PCI DSS V4.0.
La versión 3.2.1 de PCI DSS, fue publicada en Mayo de 2018 como una versión menor que incluía algunas aclaraciones y revisiones de la versión 3.2, publicada a su vez en Abril de 2016. Se podría decir que desde ese año (2016) no se habían agregado cambios sustanciales en el estándar, ya que se había logrado un equilibro entre nivel de madurez de los controles y las necesidades de ciberseguridad en aquel momento. No obstante, los cambios tecnológicos en infraestructuras vinculados con la masificación de servicios en la nube (cloud), la adopción de plataformas basadas en contenedores, orquestación y microservicios y la implantación de practicas de desarrollo como Devops, evidenciaron la necesidad de adaptar el estándar PCI DSS, a los nuevos tiempos para afrontar los retos provenientes de amenazas emergentes contra los datos de tarjetas de pago. Periodos de implementación de PCCI DSS v4.0. Una vez publicada la versión 4.0 de PCCI DSS y las plantillas de sus documentos de soportes (Report on Compliaance (ROC) y Attestation of compliance (AOC)), el PCCI SSC, confirmo las fechas durante las que los dos estándares serian validos en paralelo, la fecha de retirada oficial del estándar PCI DSS v3.2.1 y la fecha de aplicabilidad de controles con fecha de entrada en vigor en el futuro, para permitir una correcta implementación por parte de las entidades afectadas.
2.Que es NIST Security Framework.
EL Marco de Ciberseguridad NIST: Es un conjunto de directrices para mitigar los riesgos de ciberseguridad organizacionales, publicado por el Instituto Nacional de Estándares y Tecnología (NIST) de los Estados Unidos. El marco “proporciona una taxonomía de alto nivel de los resultados de ciberseguridad y una metodología para evaluar y gestionar esos resultados”, además de orientación sobre sobre las mejores prácticas para gestión de riesgo de ciberseguridad. El marco se basa en estándares, directrices y practicas existentes. Introducción: El marco para la mejora de la seguridad cibernética en infraestructura críticas, mejor conocida en inglés como NIST Cibersecurity Framework, fue emitida inicialmente en los Estados Unidos en Febrero del 2014. Actualmente se encuentra disponible la versión 1.1 liberada en Abril del 2018. La orientación del marco es ayudar a las empresas de todos los tamaños a comprender, gestionar y reducir los riesgos cibernéticos y proteger sus redes y datos, proporcionado un lenguaje común y un resumen de las mejores prácticas en ciberseguridad. Aplicabilidad: El marco es aplicable a organizaciones que depende en la tecnología, ya sea que su enfoque de seguridad cibernética sea principalmente en tecnología de la información (TI), sistemas de control industrial (CIS), sistemas ciber físicos (CPS) o dispositivos conectados en generales, incluido el internet de las cosas (IoT). Estructura: El Marco consta de tres partes: el Núcleo del Marco, los Niveles de implementación y los Perfiles del Marco. EL Núcleo del Marco: Es un conjunto de funciones y actividades de seguridad cibernética, resultados esperando y referencias informativas que son comunes en todos los sectores y en la infraestructura critica. El Núcleo del Marco consta de cinco funciones simultaneas y continuas: Identificar, Proteger, Detectar, Responder y Recuperar. Cuando se consideran juntas, estas funciones proporcionan una visión estratégica de alto nivel del ciclo de vida del proceso de gestión de riesgo de la seguridad cibernética de una organización. Cada función está compuesta de categoría, cada categoría se divide a su vez en subcategorías y cada subcategoría viene acompañada de referencias normativas a otros framewors o estándares (ISO 27001, cobiT 5, NIST SP-83, ISA 62443, entre otros) en los cuales se encuentra mayor nivel de detalle para la implementación de los controles de seguridad cibernética referidos. Los Niveles de Implementación de NIST, proporcionan un mecanismo para que las organizaciones puedan ver y comprender las características de su enfoque para gestionar el riesgo de seguridad cibernética, lo que ayudara a priorizar y alcanzar los objetivos de la seguridad cibernética. El marco considera 4 niveles desde el más débil hasta el mas robusto: Parcial, Riesgo informado, Repetible y Adaptativo. El nivel es determinado con base en 3 atributos (Proceso de gestión de riesgo, integración de la gestión de riesgos, y Participación externa). Por último, el Perfil representa los resultados que se basan en las necesidades empresariales que una organización ha seleccionado de las categorías y subcategorías del Marco. El Perfil se puede caracterizar como la alineación de estándares, directrices y practicas con el Núcleo del Marco en un escenario de implementación particular. De forma mas coloquial se puede decir que el Perfil es una “foto” en el tiempo que muestra el estado actual (o el nivel de estado deseado) de ciberseguridad en una organización o unidad de negocio. La diferencia entre el perfil del estado actual y el perfil de estado deseado permitirá construir una hoja de ruta priorizada para la implementación. Bibliografía: https://www.pcihispano.com/analisis-de-pci-dss-v4-0-parte-1- introduccion/ IA Bing. https://www.globalsuitesolutions.com/es/que-es-nist-cibersecurity- framework/